Azure の Office 365 管理ソリューション (プレビュー)Office 365 management solution in Azure (Preview)

Office 365 のロゴ

重要

ソリューションの更新Solution update

このソリューションは、Azure SentinelOffice 365 一般公開ソリューション、および Azure AD レポートおよび監視ソリューションに置き換えられました。This solution has been replaced by the Office 365 General Availability solution in Azure Sentinel and the Azure AD reporting and monitoring solution. これらのソリューションにより、以前の Azure Monitor Office 365 ソリューションの更新バージョンが提供され、構成操作が向上しました。Together they provide an updated version of the previous Azure Monitor Office 365 solution with an improved configuration experience. 2020 年 10 月 31 日までは、既存のソリューションを引き続きご利用いただけます。You can continue to use the existing solution until October 31, 2020.

Azure Sentinel は、ログを取り込み、検出、調査、検出、機械学習による分析情報を含む追加の SIEM 機能を提供するクラウド ネイティブのセキュリティ情報およびイベント管理ソリューションです。Azure Sentinel is a cloud native Security Information and Event Management solution that ingests logs and provides additional SIEM functionality including detections, investigations, hunting and machine learning driven insights. Azure Sentinel を使用することで、Office 365 SharePoint アクティビティと Exchange 管理ログの取り込みが提供されるようになりました。Using Azure Sentinel will now provide you with ingestion of Office 365 SharePoint activity and Exchange management logs.

Azure AD のレポートは、サインイン イベント、監査イベント、ディレクトリへの変更など、環境内の Azure AD アクティビティのさらに包括的なビューとログを提供します。Azure AD reporting provides a more comprehensive view of logs from Azure AD activity in your environment, including sign in events, audit events, and changes to your directory. Azure AD ログに接続するには Azure Sentinel Azure ADコネクタを使用するか、Azure Monitor で Azure AD ログ統合を構成します。To connect Azure AD logs, you can use either the Azure Sentinel Azure AD connector or configure Azure AD logs integration with Azure Monitor.

Azure AD ログのコレクションは Azure Monitor 価格が適用されます。The collection of Azure AD log is subjected to Azure Monitor pricing. 詳細については、「Azure Monitor の価格」を参照してください。See Azure Monitor pricing for more information.

Azure Sentinel Office 365 ソリューションを使用するには、次の手順に従います。To use the Azure Sentinel Office 365 solution:

  1. Azure Sentinel で Office 365 コネクタを使用すると、ワークスペースの料金に影響します。Using Office 365 connector in Azure Sentinel affects the pricing for your workspace. 詳細については、「Azure Sentinel の価格」を参照してください。For more information, see Azure Sentinel pricing.
  2. Azure Monitor Office 365 ソリューションを既に使用している場合は、次のアンインストールに関するセクションのスクリプトを使用して、まずアンインストールする必要があります。If you are already using the Azure Monitor Office 365 solution, you must first uninstall it using the script in the Uninstall section below.
  3. ワークスペースで Azure Sentinel ソリューションを有効にしますEnable the Azure Sentinel solution on your workspace.
  4. Azure Sentinel の [データ コネクタ] ページにアクセスし、Office 365 コネクタを有効にします。Go to the Data connectors page in Azure Sentinel and enable the Office 365 connector.

よく寄せられる質問Frequently asked questions

Q:現時点から 10 月 31 日までの間に、Office 365 Azure Monitor ソリューションをオンボードすることはできますか。Q: Is it possible to on-board the Office 365 Azure Monitor solution between now and October 31?

いいえ、Azure Monitor Office 365 ソリューションのオンボード スクリプトは使用できません。No, the Azure Monitor Office 365 solution onboarding scripts are no longer available. このソリューションは 10 月 31 日に削除されます。The solution will be removed on October 31.

Q:テーブルとスキーマは変更されますか。Q: Will the tables and schemas be changed?

OfficeActivity テーブル名とスキーマは、現在のソリューションと同じままです。The OfficeActivity table name and schema will remain the same as in the current solution. 新しいソリューションでは、Azure AD データを参照するクエリを除き、同じクエリを使用し続けることができます。You can continue using the same queries in the new solution excluding queries that reference Azure AD data.

新しい Azure AD レポートおよび監視ソリューションログは、OfficeActivity ではなく、SigninLogsAuditLogs テーブルに取り込まれます。The new Azure AD reporting and monitoring solution logs will be ingested into the SigninLogs and AuditLogs tables instead of OfficeActivity. 詳細については、Azure AD ログの分析方法に関する記事を参照してください。これは、Azure Sentinel と Azure Monitor ユーザーにも関連しています。For more information, see how to analyze Azure AD logs, which is also relevant for Azure Sentinel and Azure Monitor users.

OfficeActivity から SigninLogs にクエリを変換するためのサンプルを次に示します。Following are samples for converting queries from OfficeActivity to SigninLogs:

ユーザーがサインインに失敗した場合のクエリ:Query failed sign-ins, by user:

OfficeActivity
| where TimeGenerated >= ago(1d) 
| where OfficeWorkload == "AzureActiveDirectory"                      
| where Operation == 'UserLoginFailed'
| summarize count() by UserId    
SigninLogs
| where ConditionalAccessStatus == "failure" or ConditionalAccessStatus == "notApplied"
| summarize count() by UserDisplayName

Azure AD の操作を表示:View Azure AD operations:

OfficeActivity
| where OfficeWorkload =~ "AzureActiveDirectory"
| sort by TimeGenerated desc
| summarize AggregatedValue = count() by Operation
AuditLogs
| summarize count() by OperationName

Q:Azure Sentinel をオンボードするにはどうすればよいですか。Q: How can I on-board Azure Sentinel?

Azure Sentinel は、新規または既存の Log Analytics ワークスペースで有効にできるソリューションです。Azure Sentinel is a solution that you can enable on new or existing Log Analytics workspace. 詳細については、Azure Sentinel のオンボードに関するドキュメントを参照してください。To learn more, see Azure Sentinel on-boarding documentation.

Q:Azure AD ログを接続するために Azure Sentinel は必要ですか。Q: Do I need Azure Sentinel to connect the Azure AD logs?

Azure AD ログと Azure Monitor の統合を構成できます。これは、Azure Sentinel ソリューションに関連付けられていません。You can configure Azure AD logs integration with Azure Monitor, which is not related to the Azure Sentinel solution. Azure Sentinel は、ネイティブ コネクタと、すぐに使用できる Azure AD ログ用のコンテンツを提供します。Azure Sentinel provides a native connector and out-of-the box content for Azure AD logs. 詳細については、組み込みのセキュリティ指向のコンテンツに関する次の質問を参照してください。For more information, see the question below on out-of-the-box security-oriented content.

Q:Azure Sentinel と Azure Monitor から Azure AD ログを接続する場合の違いは何ですか。Q: What are the differences when connecting Azure AD logs from Azure Sentinel and Azure Monitor?

Azure Sentinel と Azure Monitor は、同じ Azure AD レポートおよび監視ソリューションに基づいて Azure AD ログに接続します。Azure Sentinel and Azure Monitor connect to Azure AD logs based on the same Azure AD reporting and monitoring solution. Azure Sentinel では、同じデータを接続し、監視情報をワンクリック提供するでネイティブ コネクタが使用できます。Azure Sentinel provides a one-click, native connector that connects the same data and provides monitoring information.

Q:新しい Azure AD レポートおよび監視テーブルに移動する場合は、どのように変更する必要がありますか。Q: What do I need to change when moving to the new Azure AD reporting and monitoring tables?

警告、ダッシュボード、および Office 365 Azure AD データを使用して作成したコンテンツを含む Azure AD データを使用するすべてのクエリを、新しいテーブルを使用して再作成する必要があります。All queries using Azure AD data, including queries in alerts, dashboards, and any content that you created using Office 365 Azure AD data, must be recreated using the new tables.

Azure Sentinel と Azure AD には、Azure AD レポートおよび監視ソリューションに移行するときに使用できる組み込みコンテンツが用意されています。Azure Sentinel and Azure AD provide built-in content that you can use when moving to the Azure AD reporting and monitoring solution. 詳細については、組み込みのセキュリティ指向のコンテンツに関する次の質問、および 「Azure Active Directory レポートに Azure Monitor ブックを使用する方法」を参照してください。For more information, see the next question on out-of-the-box security-oriented content and How to use Azure Monitor workbooks for Azure Active Directory reports.

Q:組み込みの Azure Sentinel のセキュリティ指向コンテンツを使用するにはどうすればよいですか。Q: How I can use the Azure Sentinel out-of-the-box security-oriented content?

Azure Sentinel は、Office 365 および Azure AD ログに基づいた、組み込みのセキュリティ指向のダッシュボード、カスタム アラート クエリ、検索クエリ、調査、および自動応答機能を提供します。Azure Sentinel provides out-of-the-box security-oriented dashboards, custom alert queries, hunting queries, investigation, and automated response capabilities based on the Office 365 and Azure AD logs. 詳細については、Azure Sentinel GitHub とチュートリアルを参照してください。Explore the Azure Sentinel GitHub and tutorials to learn more:

Q:Azure Sentinel は、ソリューションの一部として追加のコネクタを提供しますか。Q: Does Azure Sentinel provide additional connectors as part of the solution?

はい。Azure Sentinel データ ソースの接続に関する記事を参照してください。Yes, see Azure Sentinel connect data sources.

Q:10 月 31 日には何が行われるのですか。Q: What will happen on October 31? 事前にオフボードする必要はありますか。Do I need to offboard beforehand?

  • Office365 ソリューションからデータを受信することができなくなります。You won't be able to receive data from the Office365 solution. ソリューションはワークスペースから削除され、Marketplace で入手できなくなります。The solution will be removed from your workspace and will no longer be available in the Marketplace.
  • Azure Sentinel のお客様については、Log Analytics ワークスペース ソリューション Office365 が Azure Sentinel SecurityInsights ソリューションに含まれるようになります。For Azure Sentinel customers, the Log Analytics workspace solution Office365 will be included in the Azure Sentinel SecurityInsights solution.
  • 10 月 31 日までに手動でソリューションをオフボードしない場合、データは自動的に切断され、OfficeActivity テーブルは削除されます。If you don't offboard your solution manually by October 31, your data will be disconnected automatically, and the OfficeActivity table removed. このような場合でも、以下で説明するように、Azure Sentinel で Office 365 コネクタを有効にすると、テーブルを復元できます。Even so, you will still be able to restore the table when you enable the Office 365 connector in Azure Sentinel, as explained below.

Q:データは新しいソリューションに転送されますか。Q: Will my data transfer to the new solution?

はい。Yes. Office 365 ソリューションをワークスペースから削除すると、スキーマが削除されるため、そのデータは一時的に使用できなくなります。When you remove the Office 365 solution from your workspace, its data will become temporarily unavailable because the schema is removed. 新しい Office 365 コネクタを Sentinel で有効にすると、スキーマがワークスペースに復元され、既に収集されたデータが使用できるようになります。When you enable the new Office 365 connector in Sentinel, the schema is restored to the workspace and any data already collected will become available.

Office 365 管理ソリューションでは、Azure Monitor で Office 365 環境を監視できます。The Office 365 management solution allows you to monitor your Office 365 environment in Azure Monitor.

  • Office 365 アカウント上でのユーザー アクティビティを監視し、使用パターンを分析したり、行動傾向を識別したりします。Monitor user activities on your Office 365 accounts to analyze usage patterns as well as identify behavioral trends. たとえば、組織の外で共有されるファイルや、最も人気のある SharePoint サイトといった特定の使用シナリオを抽出することができます。For example, you can extract specific usage scenarios, such as files that are shared outside your organization or the most popular SharePoint sites.
  • 管理者のアクティビティを監視し、構成変更や高権限操作を追跡します。Monitor administrator activities to track configuration changes or high privilege operations.
  • 不必要なユーザーの行動を検出および調査します。これは、組織のニーズに合わせてカスタマイズできます。Detect and investigate unwanted user behavior, which can be customized for your organizational needs.
  • 監査とコンプライアンスを実証します。Demonstrate audit and compliance. たとえば、機密ファイルに対するファイル アクセス操作を監視でき、これは監査とコンプライアンスのプロセスに役立ちます。For example, you can monitor file access operations on confidential files, which can help you with the audit and compliance process.
  • 組織の Office 365 アクティビティ データに対してログ クエリを使用し、運用上のトラブルシューティングを実行します。Perform operational troubleshooting by using log queries on top of Office 365 activity data of your organization.

アンインストールUninstall

管理ソリューションを削除するのプロセスを使用して Office 365 管理ソリューションを削除できます。You can remove the Office 365 management solution using the process in Remove a management solution. ただしこれによって、Office 365 から Azure Monitor に収集されているデータは停止されません。This will not stop data being collected from Office 365 into Azure Monitor though. Office 365 からのサブスクリプションを解除し、データの収集を停止するには、以下の手順に従います。Follow the procedure below to unsubscribe from Office 365 and stop collecting data.

  1. 次のスクリプトを office365_unsubscribe.ps1 として保存します。Save the following script as office365_unsubscribe.ps1.

    param (
        [Parameter(Mandatory=$True)][string]$WorkspaceName,
        [Parameter(Mandatory=$True)][string]$ResourceGroupName,
        [Parameter(Mandatory=$True)][string]$SubscriptionId,
        [Parameter(Mandatory=$True)][string]$OfficeTennantId
    )
    $line='#-------------------------------------------------------------------------------------------------------------------------------------------------------------------------'
    
    $line
    IF ($Subscription -eq $null)
        {Login-AzAccount -ErrorAction Stop}
    $Subscription = (Select-AzSubscription -SubscriptionId $($SubscriptionId) -ErrorAction Stop)
    $Subscription
    $option = [System.StringSplitOptions]::RemoveEmptyEntries 
    $Workspace = (Set-AzOperationalInsightsWorkspace -Name $($WorkspaceName) -ResourceGroupName $($ResourceGroupName) -ErrorAction Stop)
    $Workspace
    $WorkspaceLocation= $Workspace.Location
    
    # Client ID for Azure PowerShell
    $clientId = "1950a258-227b-4e31-a9cf-717495945fc2"
    # Set redirect URI for Azure PowerShell
    $redirectUri = "urn:ietf:wg:oauth:2.0:oob"
    $domain='login.microsoftonline.com'
    $adTenant =  $Subscription[0].Tenant.Id
    $authority = "https://login.windows.net/$adTenant";
    $ARMResource ="https://management.azure.com/";
    $xms_client_tenant_Id ='55b65fb5-b825-43b5-8972-c8b6875867c1'
    
    switch ($WorkspaceLocation) {
           "USGov Virginia" { 
                             $domain='login.microsoftonline.us';
                              $authority = "https://login.microsoftonline.us/$adTenant";
                              $ARMResource ="https://management.usgovcloudapi.net/"; break} # US Gov Virginia
           default {
                    $domain='login.microsoftonline.com'; 
                    $authority = "https://login.windows.net/$adTenant";
                    $ARMResource ="https://management.azure.com/";break} 
                    }
    
    Function RESTAPI-Auth { 
    
    $global:SubscriptionID = $Subscription.SubscriptionId
    # Set Resource URI to Azure Service Management API
    $resourceAppIdURIARM=$ARMResource;
    # Authenticate and Acquire Token 
    # Create Authentication Context tied to Azure AD Tenant
    $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority
    # Acquire token
    $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto"
    $global:authResultARM = $authContext.AcquireTokenAsync($resourceAppIdURIARM, $clientId, $redirectUri, $platformParameters)
    $global:authResultARM.Wait()
    $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
    $authHeader
    }
    
    Function Office-UnSubscribe-Call{
    
    #----------------------------------------------------------------------------------------------------------------------------------------------
    $authHeader = $global:authResultARM.Result.CreateAuthorizationHeader()
    $ResourceName = "https://manage.office.com"
    $SubscriptionId   = $Subscription[0].Subscription.Id
    $OfficeAPIUrl = $ARMResource + 'subscriptions/' + $SubscriptionId + '/resourceGroups/' + $ResourceGroupName + '/providers/Microsoft.OperationalInsights/workspaces/' + $WorkspaceName + '/datasources/office365datasources_'  + $SubscriptionId + $OfficeTennantId + '?api-version=2015-11-01-preview'
    
    $Officeparams = @{
        ContentType = 'application/json'
        Headers = @{
        'Authorization'="$($authHeader)"
        'x-ms-client-tenant-id'=$xms_client_tenant_Id
        'Content-Type' = 'application/json'
        }
        Method = 'Delete'
        URI = $OfficeAPIUrl
      }
    
    $officeresponse = Invoke-WebRequest @Officeparams 
    $officeresponse
    
    }
    
    #GetDetails 
    RESTAPI-Auth -ErrorAction Stop
    Office-UnSubscribe-Call -ErrorAction Stop
    
  2. 次のコマンドを使用してこのスクリプトを実行します。Run the script with the following command:

    .\office365_unsubscribe.ps1 -WorkspaceName <Log Analytics workspace name> -ResourceGroupName <Resource Group name> -SubscriptionId <Subscription ID> -OfficeTennantID <Tenant ID> 
    

    例:Example:

    .\office365_unsubscribe.ps1 -WorkspaceName MyWorkspace -ResourceGroupName MyResourceGroup -SubscriptionId '60b79d74-f4e4-4867-b631-yyyyyyyyyyyy' -OfficeTennantID 'ce4464f8-a172-4dcf-b675-xxxxxxxxxxxx'
    

資格情報を求めるメッセージが表示されます。You will be prompted for credentials. Log Analytics ワークスペースの資格情報を入力します。Provide the credentials for your Log Analytics workspace.

データ コレクションData collection

最初のデータ収集には数時間かかる場合があります。It may take a few hours for data to initially be collected. 収集が開始されると、レコードが作成されるたびに、Office 365 は webhook 通知と詳細なデータを Azure Monitor に送信します。Once it starts collecting, Office 365 sends a webhook notification with detailed data to Azure Monitor each time a record is created. このレコードは、受信した後、数分以内に Azure Monitor で使用できます。This record is available in Azure Monitor within a few minutes after being received.

ソリューションの使用Using the solution

この監視ソリューションによって収集されたデータは Azure portal で、Azure Monitor の [概要] ページから使用できます。Data collected by this monitoring solution is available in the Azure Monitor Overview page in the Azure portal. このページは、Azure Monitor メニューの [Insights] セクションの [More](詳細) をクリックして開きます。Open this page from the Azure Monitor menu by clicking More under the Insights section. 各ソリューションは、タイルで表現されます。Each solution is represented by a tile. そのソリューションによって収集された詳細データについては、タイルをクリックします。Click on a tile for more detailed data collected by that solution.

Log Analytics ワークスペースに Office 365 ソリューションを追加すると、ダッシュボードに [Office 365] タイルが追加されます。When you add the Office 365 solution to your Log Analytics workspace, the Office 365 tile will be added to your dashboard. このタイルには、ご利用の環境におけるコンピューターの数と更新プログラムの対応状態が数字とグラフで表示されます。This tile displays a count and graphical representation of the number of computers in your environment and their update compliance.

Office 365 の概要タイルOffice 365 Summary Tile

[Office 365] タイルをクリックして [Office 365] ダッシュボードを開きます。Click on the Office 365 tile to open the Office 365 dashboard.

Office 365 ダッシュボード

ダッシュボードには、次の表に示した列が存在します。The dashboard includes the columns in the following table. それぞれの列には、特定のスコープと時間範囲について、その列の基準に該当するアラート数の上位 10 件が表示されます。Each column lists the top ten alerts by count matching that column's criteria for the specified scope and time range. ログ検索を実行してアラート全件を取得するには、列の一番下にある [See all] (すべて表示) をクリックするか、列ヘッダーをクリックします。You can run a log search that provides the entire list by clicking See all at the bottom of the column or by clicking the column header.

Column 説明Description
操作Operations すべての監視対象 Office 365 サブスクリプションから、アクティブ ユーザーに関する情報を提供します。Provides information about the active users from your all monitored Office 365 subscriptions. 時間の経過と共に発生するアクティビティの数を見ることもできます。You will also be able to see the number of activities that happen over time.
ExchangeExchange Add-Mailbox Permission、または Set-Mailbox などの Exchange Server アクティビティの内訳を示します。Shows the breakdown of Exchange Server activities such as Add-Mailbox Permission, or Set-Mailbox.
SharePointSharePoint SharePoint ドキュメントに対してユーザーが実行する最上位のアクティビティを示します。Shows the top activities that users perform on SharePoint documents. このタイルからドリル ダウンすると、ターゲット ドキュメントやこのアクティビティの場所など、これらのアクティビティの詳細が検索ページに表示されます。When you drill down from this tile, the search page shows the details of these activities, such as the target document and the location of this activity. たとえば、File Accessed イベントの場合、アクセスされているドキュメント、それと関連付けられたアカウント名、および IP アドレスを見ることができます。For example, for a File Accessed event, you will be able to see the document that's being accessed, its associated account name, and IP address.
Azure Active DirectoryAzure Active Directory ユーザー パスワードのリセットやログイン試行など、最上位のユーザー アクティビティが含まれます。Includes top user activities, such as Reset User Password and Login Attempts. ドリルダウンすると、結果の状態など、これらのアクティビティの詳細を見ることができます。When you drill down, you will be able to see the details of these activities like the Result Status. これは主に、Azure Active Directory 上の不審なアクティビティを監視する場合に便利です。This is mostly helpful if you want to monitor suspicious activities on your Azure Active Directory.

Azure Monitor のログ レコードAzure Monitor log records

Azure Monitor の Log Analytics ワークスペースで Office 365 ソリューションによって作成されたすべてのレコードは、OfficeActivity です。All records created in the Log Analytics workspace in Azure Monitor by the Office 365 solution have a Type of OfficeActivity. OfficeWorkload プロパティは、レコードが参照する Office 365 サービス (Exchange、AzureActiveDirectory、SharePoint、または OneDrive) を決定します。The OfficeWorkload property determines which Office 365 service the record refers to - Exchange, AzureActiveDirectory, SharePoint, or OneDrive. RecordType プロパティは操作の種類を指定します。The RecordType property specifies the type of operation. プロパティは操作の種類ごとに異なり、次の表に示しています。The properties will vary for each operation type and are shown in the tables below.

共通プロパティCommon properties

次のプロパティは、Office 365 のすべてのレコードに共通です。The following properties are common to all Office 365 records.

プロパティProperty 説明Description
TypeType OfficeActivityOfficeActivity
ClientIPClientIP アクティビティが記録されたときに使用されたデバイスの IP アドレス。The IP address of the device that was used when the activity was logged. IP アドレスは IPv4 または IPv6 アドレスの形式で表示されます。The IP address is displayed in either an IPv4 or IPv6 address format.
OfficeWorkloadOfficeWorkload レコードが参照する Office 365 サービス。Office 365 service that the record refers to.

AzureActiveDirectoryAzureActiveDirectory
ExchangeExchange
SharePointSharePoint
操作Operation ユーザーまたは管理者アクティビティの名前。The name of the user or admin activity.
OrganizationIdOrganizationId 組織の Office 365 テナントの GUID。The GUID for your organization's Office 365 tenant. どの Office 365 サービスで発生するかにかかわらず、この値は組織に対して常に同じになります。This value will always be the same for your organization, regardless of the Office 365 service in which it occurs.
RecordTypeRecordType 実行する操作の種類。Type of operation performed.
ResultStatusResultStatus (Operation プロパティで指定された) アクションが正常に終了したかどうかを示します。Indicates whether the action (specified in the Operation property) was successful or not. 値は Succeeded、PartiallySucceeded、Failed のいずれかです。Possible values are Succeeded, PartiallySucceeded, or Failed. Exchange 管理者アクティビティの場合、値は True または False です。For Exchange admin activity, the value is either True or False.
UserIdUserId レコードがログに記録される結果になったアクションを実行したユーザーの UPN (ユーザー プリンシパル名)。たとえば、my_name@my_domain_name。The UPN (User Principal Name) of the user who performed the action that resulted in the record being logged; for example, my_name@my_domain_name. (SHAREPOINT\system や NTAUTHORITY\SYSTEM などの) システム アカウントによって実行されるアクティビティのレコードも含まれることに注意してください。Note that records for activity performed by system accounts (such as SHAREPOINT\system or NTAUTHORITY\SYSTEM) are also included.
UserKeyUserKey UserId プロパティで識別されるユーザーの代替 ID。An alternative ID for the user identified in the UserId property. たとえば、SharePoint、OneDrive for Business、および Exchange でユーザーによって実行されたイベントの Passport 一意識別子 (PUID) が、このプロパティの値になります。For example, this property is populated with the passport unique ID (PUID) for events performed by users in SharePoint, OneDrive for Business, and Exchange. このプロパティは、他のサービスで発生するイベントや、システム アカウントによって実行されるイベントの UserID プロパティと同じ値を指定する場合もあります。This property may also specify the same value as the UserID property for events occurring in other services and events performed by system accounts
UserTypeUserType 操作を実行したユーザーの種類。The type of user that performed the operation.

[Admin]Admin
ApplicationApplication
DcAdminDcAdmin
通常Regular
予約済みReserved
ServicePrincipalServicePrincipal
システムSystem

Azure Active Directory ベースAzure Active Directory base

次のプロパティは、Azure Active Directory のすべてのレコードに共通です。The following properties are common to all Azure Active Directory records.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload AzureActiveDirectoryAzureActiveDirectory
RecordTypeRecordType AzureActiveDirectoryAzureActiveDirectory
AzureActiveDirectory_EventTypeAzureActiveDirectory_EventType Azure AD イベントの種類。The type of Azure AD event.
ExtendedPropertiesExtendedProperties Azure AD イベントの拡張プロパティ。The extended properties of the Azure AD event.

Azure Active Directory アカウント ログオンAzure Active Directory Account logon

これらのレコードは、Active Directory のユーザーがログオンを試みたときに作成されます。These records are created when an Active Directory user attempts to log on.

プロパティProperty 説明Description
OfficeWorkload AzureActiveDirectoryAzureActiveDirectory
RecordType AzureActiveDirectoryAccountLogonAzureActiveDirectoryAccountLogon
Application アカウント ログイン イベントをトリガーするアプリケーション (Office 15 など)。The application that triggers the account login event, such as Office 15.
Client アカウント ログイン イベントで使用されたクライアント デバイス、デバイス OS、およびデバイス ブラウザーの詳細。Details about the client device, device OS, and device browser that was used for the of the account login event.
LoginStatus このプロパティは OrgIdLogon.LoginStatus に直接由来します。This property is from OrgIdLogon.LoginStatus directly. アルゴリズムを変えることにより、さまざまな興味深いログオン失敗のマッピングを実行できます。The mapping of various interesting logon failures could be done by alerting algorithms.
UserDomain テナント ID 情報 (TII)。The Tenant Identity Information (TII).

Azure Active DirectoryAzure Active Directory

これらのレコードは、変更または追加が Azure Active Directory オブジェクトに行われたときに作成されます。These records are created when change or additions are made to Azure Active Directory objects.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload AzureActiveDirectoryAzureActiveDirectory
RecordTypeRecordType AzureActiveDirectoryAzureActiveDirectory
AADTargetAADTarget (Operation プロパティによって識別される) アクションの実行対象だったユーザー。The user that the action (identified by the Operation property) was performed on.
ActorActor アクションを実行したユーザーまたはサービス プリンシパル。The user or service principal that performed the action.
ActorContextIdActorContextId アクターが所属する組織の GUID。The GUID of the organization that the actor belongs to.
ActorIpAddressActorIpAddress アクターの IP アドレス。IPv4 または IPv6 アドレスの形式。The actor's IP address in IPV4 or IPV6 address format.
InterSystemsIdInterSystemsId Office 365 サービス内のコンポーネント間でアクションを追跡する GUID。The GUID that track the actions across components within the Office 365 service.
IntraSystemIdIntraSystemId アクションを追跡するために Azure Active Directory によって生成される GUID。The GUID that's generated by Azure Active Directory to track the action.
SupportTicketIdSupportTicketId "代理操作" の状況におけるアクションのカスタマー サポート チケット ID。The customer support ticket ID for the action in "act-on-behalf-of" situations.
TargetContextIdTargetContextId ターゲットのユーザーが所属する組織の GUID。The GUID of the organization that the targeted user belongs to.

データ センター セキュリティData Center Security

これらのレコードは、データ センター セキュリティの監査データから作成されます。These records are created from Data Center Security audit data.

プロパティProperty 説明Description
EffectiveOrganizationEffectiveOrganization 昇格/コマンドレットのターゲットだったテナントの名前。The name of the tenant that the elevation/cmdlet was targeted at.
ElevationApprovedTimeElevationApprovedTime 昇格が承認されたときのタイムスタンプ。The timestamp for when the elevation was approved.
ElevationApproverElevationApprover Microsoft マネージャーの名前。The name of a Microsoft manager.
ElevationDurationElevationDuration 昇格がアクティブだった期間。The duration for which the elevation was active.
ElevationRequestIdElevationRequestId 昇格要求の一意識別子。A unique identifier for the elevation request.
ElevationRoleElevationRole 昇格が要求されたロール。The role the elevation was requested for.
ElevationTimeElevationTime 昇格の開始時刻。The start time of the elevation.
Start_TimeStart_Time コマンドレット実行の開始時刻。The start time of the cmdlet execution.

Exchange 管理者Exchange Admin

これらのレコードは、Exchange 構成が変更されたときに作成されます。These records are created when changes are made to Exchange configuration.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload ExchangeExchange
RecordTypeRecordType ExchangeAdminExchangeAdmin
ExternalAccessExternalAccess 組織内のユーザー、Microsoft のデータセンター担当者またはデータセンター サービス アカウント、委任された管理者のいずれによってコマンドレットが実行されたかを指定します。Specifies whether the cmdlet was run by a user in your organization, by Microsoft datacenter personnel or a datacenter service account, or by a delegated administrator. False の値は、組織内の人物によってコマンドレットが実行されたことを示します。The value False indicates that the cmdlet was run by someone in your organization. True の値は、データセンター担当者、データセンター サービス アカウント、または委任管理者によってコマンドレットが実行されたことを示します。The value True indicates that the cmdlet was run by datacenter personnel, a datacenter service account, or a delegated administrator.
ModifiedObjectResolvedNameModifiedObjectResolvedName コマンドレットによって変更されたオブジェクトのユーザー フレンドリ名。This is the user friendly name of the object that was modified by the cmdlet. コマンドレットがオブジェクトを変更する場合にのみ記録されます。This is logged only if the cmdlet modifies the object.
OrganizationNameOrganizationName テナントの名前。The name of the tenant.
OriginatingServerOriginatingServer コマンドレットの実行元だったサーバーの名前。The name of the server from which the cmdlet was executed.
パラメーターParameters Operations プロパティで識別されるコマンドレットと共に使用されたすべてのパラメーターの名前と値。The name and value for all parameters that were used with the cmdlet that is identified in the Operations property.

Exchange メールボックスExchange Mailbox

これらのレコードは、変更または追加が Exchange メールボックスに行われたときに作成されます。These records are created when changes or additions are made to Exchange mailboxes.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload ExchangeExchange
RecordTypeRecordType ExchangeItemExchangeItem
ClientInfoStringClientInfoString ブラウザーのバージョン、Outlook のバージョン、モバイル デバイス情報など、操作を実行するために使用された電子メール クライアントに関する情報。Information about the email client that was used to perform the operation, such as a browser version, Outlook version, and mobile device information.
Client_IPAddressClient_IPAddress 操作が記録されたときに使用されたデバイスの IP アドレス。The IP address of the device that was used when the operation was logged. IP アドレスは IPv4 または IPv6 アドレスの形式で表示されます。The IP address is displayed in either an IPv4 or IPv6 address format.
ClientMachineNameClientMachineName Outlook クライアントをホストするマシン名。The machine name that hosts the Outlook client.
ClientProcessNameClientProcessName メールボックスへのアクセスに使用された電子メール クライアント。The email client that was used to access the mailbox.
ClientVersionClientVersion 電子メール クライアントのバージョン。The version of the email client .
InternalLogonTypeInternalLogonType 内部使用のために予約されています。Reserved for internal use.
Logon_TypeLogon_Type メールボックスにアクセスし、記録された操作を実行したユーザーの種類を示します。Indicates the type of user who accessed the mailbox and performed the operation that was logged.
LogonUserDisplayNameLogonUserDisplayName 操作を実行したユーザーのユーザー フレンドリ名。The user-friendly name of the user who performed the operation.
LogonUserSidLogonUserSid 操作を実行したユーザーの SID。The SID of the user who performed the operation.
MailboxGuidMailboxGuid アクセスされたメールボックスの Exchange GUID。The Exchange GUID of the mailbox that was accessed.
MailboxOwnerMasterAccountSidMailboxOwnerMasterAccountSid メールボックス所有者アカウントのマスター アカウント SID。Mailbox owner account's master account SID.
MailboxOwnerSidMailboxOwnerSid メールボックス所有者の SID。The SID of the mailbox owner.
MailboxOwnerUPNMailboxOwnerUPN アクセスされたメールボックスを所有する人物の電子メール アドレス。The email address of the person who owns the mailbox that was accessed.

Exchange メールボックス監査Exchange Mailbox Audit

これらのレコードは、メールボックス監査エントリが作成されるときに作成されます。These records are created when a mailbox audit entry is created.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload ExchangeExchange
RecordTypeRecordType ExchangeItemExchangeItem
ItemItem 操作が実行された対象の項目を表します。Represents the item upon which the operation was performed
SendAsUserMailboxGuidSendAsUserMailboxGuid その名前で電子メールを送信するためにアクセスされたメールボックスの Exchange GUID。The Exchange GUID of the mailbox that was accessed to send email as.
SendAsUserSmtpSendAsUserSmtp 偽装されているユーザーの SMTP アドレス。SMTP address of the user who is being impersonated.
SendonBehalfOfUserMailboxGuidSendonBehalfOfUserMailboxGuid 代理でメールを送信するためにアクセスされたメールボックスの Exchange GUID。The Exchange GUID of the mailbox that was accessed to send mail on behalf of.
SendOnBehalfOfUserSmtpSendOnBehalfOfUserSmtp その代理でメールが送信されるユーザーの SMTP アドレス。SMTP address of the user on whose behalf the email is sent.

Exchange メールボックス監査グループExchange Mailbox Audit Group

これらのレコードは、変更または追加が Exchange グループに行われたときに作成されます。These records are created when changes or additions are made to Exchange groups.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload ExchangeExchange
OfficeWorkloadOfficeWorkload ExchangeItemGroupExchangeItemGroup
AffectedItemsAffectedItems グループ内の各項目に関する情報。Information about each item in the group.
CrossMailboxOperationsCrossMailboxOperations 複数のメールボックスが操作に関係したかどうかを示します。Indicates if the operation involved more than one mailbox.
DestMailboxIdDestMailboxId CrossMailboxOperations パラメーターが True の場合にのみ設定します。Set only if the CrossMailboxOperations parameter is True. ターゲット メールボックス GUID を指定します。Specifies the target mailbox GUID.
DestMailboxOwnerMasterAccountSidDestMailboxOwnerMasterAccountSid CrossMailboxOperations パラメーターが True の場合にのみ設定します。Set only if the CrossMailboxOperations parameter is True. ターゲット メールボックス所有者のマスター アカウント SID の SID を指定します。Specifies the SID for the master account SID of the target mailbox owner.
DestMailboxOwnerSidDestMailboxOwnerSid CrossMailboxOperations パラメーターが True の場合にのみ設定します。Set only if the CrossMailboxOperations parameter is True. ターゲット メールボックスの SID を指定します。Specifies the SID of the target mailbox.
DestMailboxOwnerUPNDestMailboxOwnerUPN CrossMailboxOperations パラメーターが True の場合にのみ設定します。Set only if the CrossMailboxOperations parameter is True. ターゲット メールボックスの所有者の UPN を指定します。Specifies the UPN of the owner of the target mailbox.
DestFolderDestFolder 移動などの操作の宛先フォルダー。The destination folder, for operations such as Move.
FolderFolder 項目のグループが位置しているフォルダー。The folder where a group of items is located.
FoldersFolders 操作に関係したソース フォルダーに関する情報。たとえば、フォルダーが選択後に削除されるかどうか。Information about the source folders involved in an operation; for example, if folders are selected and then deleted.

SharePoint ベースSharePoint Base

これらのプロパティは、SharePoint のすべてのレコードに共通です。These properties are common to all SharePoint records.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload SharePointSharePoint
OfficeWorkloadOfficeWorkload SharePointSharePoint
EventSourceEventSource SharePoint で発生したイベントを識別します。Identifies that an event occurred in SharePoint. 値は SharePoint または ObjectModel です。Possible values are SharePoint or ObjectModel.
ItemTypeItemType アクセスまたは変更されたオブジェクトの種類。The type of object that was accessed or modified. オブジェクトの種類の詳細については、ItemType の表を参照してください。See the ItemType table for details on the types of objects.
MachineDomainInfoMachineDomainInfo デバイス同期操作に関する情報。Information about device sync operations. この情報は、要求に存在する場合にのみ報告されます。This information is reported only if it's present in the request.
MachineIdMachineId デバイス同期操作に関する情報。Information about device sync operations. この情報は、要求に存在する場合にのみ報告されます。This information is reported only if it's present in the request.
Site_Site_ ユーザーがアクセスするファイルまたはフォルダーがあるサイトの GUID。The GUID of the site where the file or folder accessed by the user is located.
Source_NameSource_Name 監査対象の操作をトリガーしたエンティティ。The entity that triggered the audited operation. 値は SharePoint または ObjectModel です。Possible values are SharePoint or ObjectModel.
UserAgentUserAgent ユーザーのクライアントまたはブラウザーに関する情報。Information about the user's client or browser. この情報は、クライアントまたはブラウザーによって提供されます。This information is provided by the client or browser.

SharePoint スキーマSharePoint Schema

これらのレコードは、SharePoint の構成変更が行われたときに作成されます。These records are created when configuration changes are made to SharePoint.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload SharePointSharePoint
OfficeWorkloadOfficeWorkload SharePointSharePoint
CustomEventCustomEvent カスタム イベントに関する省略可能文字列。Optional string for custom events.
Event_DataEvent_Data カスタム イベントに関する省略可能ペイロード。Optional payload for custom events.
ModifiedPropertiesModifiedProperties サイトまたはサイト コレクション管理者グループのメンバーとしてユーザーを追加するなどの管理者イベントに含まれるプロパティ。The property is included for admin events, such as adding a user as a member of a site or a site collection admin group. プロパティには、変更されたプロパティの名前 (サイト管理者グループなど)、変更されたプロパティの新しい値 (サイト管理者として追加されたユーザーなど)、変更されたオブジェクトの以前の値が含まれます。The property includes the name of the property that was modified (for example, the Site Admin group), the new value of the modified property (such the user who was added as a site admin), and the previous value of the modified object.

SharePoint ファイル操作SharePoint File Operations

これらのレコードは、SharePoint でのファイル操作に応答して作成されます。These records are created in response to file operations in SharePoint.

プロパティProperty 説明Description
OfficeWorkloadOfficeWorkload SharePointSharePoint
OfficeWorkloadOfficeWorkload SharePointFileOperationSharePointFileOperation
DestinationFileExtensionDestinationFileExtension コピーまたは移動されるファイルのファイル拡張子。The file extension of a file that is copied or moved. このプロパティは FileCopied および FileMoved イベントについてのみ表示されます。This property is displayed only for FileCopied and FileMoved events.
DestinationFileNameDestinationFileName コピーまたは移動されるファイルの名前。The name of the file that is copied or moved. このプロパティは FileCopied および FileMoved イベントについてのみ表示されます。This property is displayed only for FileCopied and FileMoved events.
DestinationRelativeUrlDestinationRelativeUrl ファイルのコピーまたは移動先フォルダーの URL。The URL of the destination folder where a file is copied or moved. SiteURL、DestinationRelativeURL、および DestinationFileName パラメーターの値の組み合わせは、(コピーされたファイルの完全パス名である) ObjectID プロパティの値と同じです。The combination of the values for SiteURL, DestinationRelativeURL, and DestinationFileName parameters is the same as the value for the ObjectID property, which is the full path name for the file that was copied. このプロパティは FileCopied および FileMoved イベントについてのみ表示されます。This property is displayed only for FileCopied and FileMoved events.
SharingTypeSharingType リソースの共有相手だったユーザーに割り当てられていた共有アクセス許可の種類。The type of sharing permissions that were assigned to the user that the resource was shared with. このユーザーは UserSharedWith パラメーターによって識別されます。This user is identified by the UserSharedWith parameter.
Site_UrlSite_Url ユーザーがアクセスするファイルまたはフォルダーがあるサイトの URL。The URL of the site where the file or folder accessed by the user is located.
SourceFileExtensionSourceFileExtension ユーザーがアクセスしたファイルのファイル拡張子。The file extension of the file that was accessed by the user. アクセスしたオブジェクトがフォルダーの場合、このプロパティは空です。This property is blank if the object that was accessed is a folder.
SourceFileNameSourceFileName ユーザーがアクセスしたファイルまたはフォルダーの名前。The name of the file or folder accessed by the user.
SourceRelativeUrlSourceRelativeUrl ユーザーがアクセスするファイルが含まれているフォルダーの URL。The URL of the folder that contains the file accessed by the user. SiteURL、SourceRelativeURL、および SourceFileName パラメーターの値の組み合わせは、(ユーザーがアクセスするファイルの完全パス名である) ObjectID プロパティの値と同じです。The combination of the values for the SiteURL, SourceRelativeURL, and SourceFileName parameters is the same as the value for the ObjectID property, which is the full path name for the file accessed by the user.
UserSharedWithUserSharedWith リソースの共有相手だったユーザー。The user that a resource was shared with.

サンプル ログ クエリSample log queries

次の表は、このソリューションによって収集された更新レコードを探すログ クエリの例です。The following table provides sample log queries for update records collected by this solution.

クエリQuery 説明Description
Office 365 サブスクリプションでのすべての操作のカウントCount of all the operations on your Office 365 subscription OfficeActivity | summarize count() by OperationOfficeActivity | summarize count() by Operation
SharePoint サイトの使用率Usage of SharePoint sites OfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | sort by Count ascOfficeActivity | where OfficeWorkload =~ "sharepoint" | summarize count() by SiteUrl | sort by Count asc
ユーザーの種類別のファイル アクセス操作File access operations by user type OfficeActivity | summarize count() by UserTypeOfficeActivity | summarize count() by UserType
Exchange 上の外部アクションを監視するMonitor external actions on Exchange OfficeActivity | where OfficeWorkload =~ "exchange" and ExternalAccess == trueOfficeActivity | where OfficeWorkload =~ "exchange" and ExternalAccess == true

次のステップNext steps